FIST Conference Abril/Madrid 2005 @

>Anlisis y Gestin de
Riesgos
Fernando Aparicio, 8/4/2005

Security Xperts

 Niveles de madurez de la seguridad

NIVEL 5

Certificacin

Gestin global
de Riesgos de
los Sistemas

NIVEL 4

Gestin del
Proceso de
seguridad

NIVEL 3

NIVEL 2

NIVEL 1

Cumplimiento
de la
legislacin
sobre
seguridad
Sentido
comn

Certificacin de sistemas y
procesos
Certificacin de actividades
de comercio electrnico
Sellos de confianza

Anlisis de Riesgos
Gestin centralizada de la seguridad
Planes de continuidad de negocio

Planes Directores de Seguridad

Polticas, procesos y procedimientos de seguridad
Procesos de respuesta a incidentes

Adaptacin a ley de proteccin de datos (LOPD)

Adaptacin a ley de servicios de la sociedad de la informacin
y el comercio electrnico (LSSI-CE)
Nivel medio actual en Espaa

Controles bsicos: antivirus, cortafuegos, copias de seguridad

(backups), usuarios y contraseas, etc.

Security Xperts

Procesos:
- Metodologa para
integrar la seguridad 15%
en el proceso productivo

10%

Evaluacin del riesgo:

- Identificacin de puntos
dbiles
- Medicin del riesgo

15%
Definicin de una
poltica
de seguridad

20%

Tecnologa:
- Actualizaciones diarias
-Securizar sistemas actuales
- Controles peridicos
3

Sensibilizacin:
40% -Formacin de personal IT
-Formacin de usuario final
-Outsourcing de la seguridad

Security Xperts

Security Xperts

>Analizando los riesgos

Un Anlisis de Riesgos es un procedimiento de ayuda a la decisin. Sus resultados
constituyen una gua para que la organizacin pueda tomar decisiones sobre si es
necesario implantar nuevos mecanismos de seguridad y qu controles o procesos de
seguridad sern los ms adecuados
Una vez conocidos los riesgos, la organizacin puede decidir qu medidas tomar
dependiendo de una serie de factores (costes de la implantacin de controles que
reduzcan los riesgos vs. costes derivados de las consecuencias de la
materializacin de estos riesgos):
Mitigar el riesgo, mediante la implantacin y mantenimiento de controles de
seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo
cual implica inversiones econmicas)
Asumir ciertos riesgos a los que est expuesta la organizacin ya que las
consecuencias acarrean un coste econmico y estratgico menor que el coste
que sera necesario aportar para reducir dichos riesgos
Transferir estos riesgos, bien a un prestador de servicios especializado mediante
un SLA o bien mediante la contratacin de una pliza de riesgo electrnico
5

Security Xperts

>Analizando los riesgos

Grado de confianza
(a menor confianza mayor riesgo)

El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que es
preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede
considerar suficiente (nivel de riesgo aceptable)

Seguridad perfecta
Riesgo

Nivel de implantacin y mantenimiento de mecanismos de seguridad

(a mayor nivel mayor coste econmico)
6

Security Xperts

>Analizando los riesgos

A pesar de ser un procedimiento que se puede ejecutar de forma sistemtica, en un anlisis
de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente
imparcial y objetiva:
Inventariar los activos e identificar las amenazas que existen sobre ellos
Identificar las vulnerabilidades presentes en los activos
Estimacin de la probabilidad con la que las amenazas pueden explotar las
vulnerabilidades de los activos
Estimacin del impacto en el negocio en caso de que ciertas amenazas se hagan
efectivas
Estimacin de si se puede asumir el riesgo, es necesario invertir en la implantacin o
actualizacin de controles de seguridad o se puede transferir el riesgo a terceras
partes
Si estos factores no se evalan con total imparcialidad y objetividad, el anlisis de riesgos
no podr cumplir su funcin con garantas, que es ayudarnos a tomar decisiones sobre
cmo proteger nuestros activos

Security Xperts

>Analizando los riesgos

Definiciones formales (II): Activo, Vulnerabilidad, Amenaza:
Los activos son todos aquellos componentes o recursos de la organizacin, tanto
fsicos (tangibles) como lgicos (intangibles), que constituyen su infraestructura,
patrimonio, conocimiento y reputacin en el mercado.
Una vulnerabilidad es toda aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometan la confidencialidad, integridad o
disponibilidad de ese mismo activo o de otros activos de la organizacin
Una amenaza es un evento o incidente provocado por una entidad hostil a la
organizacin (humana, natural o artificial) que aprovecha una o varias
vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o
disponibilidad de ese mismo activo o de otros activos de la organizacin (se dice que
la amenaza explota la vulnerabilidad del activo)
Las amenazas pueden ser externas o internas a la organizacin y pueden ser
deliberadas o accidentales (por ejemplo en el caso de desastres naturales o
negligencia sin intencin de dao por parte de personal de la organizacin)
8

Security Xperts

>Analizando los riesgos

Ejemplos de Amenazas: Qu podra ocurrir?
Errores
Dao intencional / ataque
Fraude
Robo
Falla de equipo / software
Desastres naturales
Ejemplos de Vulnerabilidades: factores de riesgo que causan las amenazas
Falta de conocimientos del usuario
Falta de funcionalidad de la seguridad
Configuracin inadecuada del cortafuegos
Eleccin deficiente de contraseas
Tecnologa no probada
Transmisin por comunicaciones no protegidas
Inexistencia de sistemas contra incendios
9

Security Xperts

>Analizando los riesgos

Definiciones formales (III): Impacto, Riesgo
Impacto hace referencia a la magnitud de las consecuencias que tiene para el
negocio el hecho de que uno o varios activos hayan visto comprometida su
confidencialidad, integridad o disponibilidad debido a que una o varias amenazas
hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un
determinado nivel de impacto es necesario considerar la criticidad de los activos
afectados
Riesgo se define como la probabilidad de que la organizacin se vea sometida a un
determinado nivel de impacto (determinado a su vez por las consecuencias de la
agresin). Su estimacin se basa en la combinacin de dos factores:
La frecuencia con la que las amenazas consideradas podran materializarse
(estimando la probabilidad de que las amenazas consideradas puedan explotar
las vulnerabilidades de los activos)
Nivel de impacto causado en el negocio en caso de que las amenazas
consideradas se hagan efectivas
10

Security Xperts

>Analizando los riesgos

Ejemplos de Impacto en una organizacin: prdida (directa o indirecta):
Prdida directa de dinero
Sancin por violacin de la legislacin
Prdida de imagen / reputacin
Poner en peligro al personal o a los clientes
Violacin de confianza
Prdida de oportunidad de negocio
Reduccin de la eficiencia /desempeo operativo
Interrupcin de la actividad de negocio
11

Security Xperts

>Analizando los riesgos

Definiciones formales (IV): Salvaguardas
Por salvaguarda se define todo control (poltica, procedimiento, norma, proceso o
mecanismo) que contribuye a:
Reducir las vulnerabilidades de los activos
Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades
Reducir el impacto producido en el negocio por la materializacin de amenazas
Cmo se miden?
Coste de adquisicin
Dificultad de implantacin
Las salvaguardas/controles/contramedidas pueden clasificarse como:
Proactivas, cuando contribuyen a prevenir que se materialicen los riesgos. Tambin
llamadas preventivas. Protegen a los activos antes de que estos sufran ataques o
agresiones.
Detectivas, cuando contribuyen a reducir o evitar el impacto al proteger a los activos en
el momento en el que sufren ataques o agresiones
Reactivas, cuando contribuyen a eliminar o reducir el impacto negativo de la
materializacin de una amenaza. Tambin llamadas curativas o correctivas. Curan a
los activos despus de que estos hayan sufrido ataques o agresiones

12

Security Xperts

>Analizando los riesgos

Ejemplos de salvaguardas:
Preventivos:
Poltica de seguridad
Formacin del usuario
Controles de acceso
Proveedores de seguridad gestionada (MSSP)
Segregacin de funciones
Detectivos:
Registro de logs, sistemas integrados de auditora
Sistemas de deteccin de intrusos (IDS)
Correctivos:
Copias de respaldo (back-ups)
Plan de contingencias y continuidad de negocio

13

Security Xperts

>Analizando los riesgos

Relacin Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo:

Activos

(con una frecuencia estimada)

explotan
Vulnerabilidades

Amenazas

Impacto
Riesgos

14

generan

Security Xperts

implica

>Analizando los riesgos

Relacin Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo-Salvaguardas:
(con una frecuencia estimada)
explotan
Amenazas

Activos
Vulnerabilidades
generan

reducen

Salvaguardas

reducen

decisiones
Riesgos
15

Security Xperts

Impacto

implica

>Analizando los riesgos

Anlisis de riesgos cuantitativo:
Las mtricas asociadas con el impacto causado por la materializacin de las
amenazas se valoran en cifras concretas de forma objetiva. Un modelo
cuantitativo habitual es aquel en el que las consecuencias de la materializacin
de amenazas se asocian a un determinado nivel de impacto en funcin de la
estimacin del coste econmico que suponen para la organizacin
Anlisis de riesgos cualitativo:
Las mtricas asociadas con el impacto causado por la materializacin de las
amenazas se valoran en trminos subjetivos (Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo). Las consecuencias de la materializacin de amenazas se
asocian a un determinado nivel de impacto en funcin de multitud de factores
(prdidas econmicas efectivas, prdida de conocimiento, prdida de
competitividad, interrupcin de negocio, prdida de imagen, etc)

16

Security Xperts

>Determinacin del impacto

> Ejemplo de evaluacin (cualitativa) del impacto sobre los activos
Magnitud
Valor

Muy Alto

Alto

Medio

Bajo

Muy Bajo

17

Definicin

50

- Prdida o inhabilitacin temporal o permanente de activos o recursos considerados crticos y no respaldados.

- Interrupcin total de la prestacin de servicios y procesos de negocio por parte de la Organizacin.
- Dao significativo de la imagen y reputacin de la Organizacin de cara a la opinin pblica.
- Fuga de informacin estratgica.

40

- Prdida o inhabilitacin temporal o permanente de activos o recursos no considerados crticos y no respaldados.

- Interrupcin parcial de la prestacin de servicios y procesos de negocio por parte de la Organizacion.
- Dao significativo de la imagen y reputacin de la Organizacin de cara a los actuales clientes.
- Fuga de informacin confidencial (pero no catalogada como estratgica).

30

- Prdida o inhabilitacin temporal o permanente de activos o recursos considerados crticos y respaldados.

- No hay interrupcin de la prestacin de servicios o procesos de negocio pero el rendimiento se ve severamente
afectado.
- Dao indirecto o colateral de la imagen y reputacin de la Organizacin de cara a la opinin pblica.
- Fuga de informacin reservada (pero no catalogada como confidencial o estratgica).

20

- Prdida o inhabilitacin temporal o permanente de activos o recursos no considerados crticos y respaldados.

- No hay interrupcin de la prestacin de servicios o procesos de negocio pero el rendimiento se ve sensiblemente
afectado.
- Fuga de informacin considerada sensible pero no catalogada como reservada, confidencial o estratgica.

10

- Prdida o inhabilitacin temporal o permanente de activos o recursos secundarios (por ejemplo activos de red de
respaldo o de backup).
- No hay interrupcin de la prestacin de servicios o procesos de negocio pero el rendimiento se ve sensiblemente
afectado.
- Fuga de informacin no pblica pero no considerada como sensible.

Security Xperts

>Determinacin de la frecuencia
> Evaluacin cualitativa
> Para cada amenaza se evala la frecuencia de aparicin de la amenaza.

18

Frecuencia

Valor

Definicin

Muy Alta

Cuando la amenaza puede presentarse en periodos inferiores a

1 semana

Alta

0,9

Cuando la amenaza puede presentarse en periodos inferiores a

2 meses

Media

0,7

Cuando la amenaza puede presentarse en periodos inferiores a

1 ao

Baja

0,5

Cuando la amenaza puede presentarse en periodos inferiores a

5 aos

Muy Baja

0,3

Cuando la amenaza puede presentarse en periodos superiores

a 5 aos

Security Xperts

>Evaluacin de riesgos
IMPACTO

Muy Alto
(50)

Alto
(40)

Medio
(30)

Bajo
(20)

Muy Bajo
(10)

Muy Alta
(1,0)

Muy Alto
50 * 1,0 = 50

Alto
40 * 1,0 = 40

Medio
30 * 1,0 = 30

Bajo
20 * 1,0 = 20

Muy Bajo
10 * 1,0 =10

Alta
(0,9)

Muy Alto
50 * 0,9 = 45

Alto
40 * 0,9 = 36

Medio
30 * 0,9 = 27

Bajo
20 * 0,9 = 18

Muy Bajo
10 * 0,9 = 9

Media
(0,7)

Alto
50 * 0,7 = 35

Medio
40 * 0,7 = 28

Medio
30 * 0,7 = 21

Bajo
20 * 0,7 = 14

Muy Bajo
10 * 0,7 = 7

Baja
(0,5)

Medio
50 * 0,5 = 25

Bajo
40 * 0,5 = 20

Bajo
30 * 0,5 = 15

Muy Bajo
20 * 0,5 = 10

Muy Bajo
10 * 0,4 = 4

Muy Baja
(0,3)

Bajo
50 * 0,3 = 15

Bajo
40 * 0,3 = 12

Muy Bajo
30 * 0,3 = 10

Muy Bajo
20 * 0,3 = 6

Muy Bajo
10 * 0,2 = 2

FRECUENCIA

19

IMPACTO * FRECUENCIA

NIVEL DE RIESGO

40<Impacto*Frecuencia<=50

Muy Alto

30<Impacto*Frecuencia<=40

Alto

20<Impacto*Frecuencia<=30

Medio

10<Impacto*Frecuencia<=20

Bajo

0<Impacto*Frecuencia<=10

Muy Bajo

NIVEL DE RIESGO = f(IMPACTO * FRECUENCIA)

Tabla de criterio que establece el nivel de riesgo
cualitativo en funcin de mtricas cuantitativas del
impacto y la frecuencia, ponderando especialmente
el impacto
(estimacin semicualitativa)
Security Xperts

>Evaluacin de riesgos
>

Explotacin del anlisis de riesgos

> Relacin de riesgos priorizados Apoyo a la decisin para:
Planificacin de la implantacin de controles
Asignacin de recursos

Nivel de
riesgos

Descripcin y acciones necesarias

Muy Alto

Es imperativo aplicar de forma extremadamente urgente un proceso de identificacin e implantacin de salvaguardas preventivas y
reactivas. Este proceso, hasta su conclusin, debe ser considerado como el proceso de mxima prioridad para la Organizacin, an cuando
pueda interferir temporalmente con procesos crticos del negocio o pueda interrumpir temporalmente su operatividad. Este riesgo NUNCA se
puede asumir

Alto

Es necesario aplicar tan pronto como sea posible un proceso de identificacin e implantacin de salvaguardas preventivas y reactivas. Este
proceso, hasta su conclusin, debe ser considerado como un proceso de alta prioridad para la Organizacin. El retraso o interrupcin
temporal de este proceso slo debe estar justificado por motivos de continuidad de la operatividad del negocio o de alguno de sus procesos
crticos. Este riesgo NUNCA se debe asumir

Medio

Es necesario aplicar en un perodo razonable de tiempo un proceso de identificacin e implantacin de salvaguardas preventivas y
reactivas. Este proceso debe ser considerado como un proceso de prioridad estndar y su ejecucin puede ser interrumpida temporalmente
cuando interfiera con los procesos crticos del negocio. No es recomendable asumir este riesgo y slo se debera hacer en circunstancias
excepcionales. Es factible demorar la implantacin de salvaguardas, pero sin dejar pasar ms de 1 ao desde la finalizacin del presente
anlisis

Bajo
Muy Bajo

20

El responsable de los activos deber ponderar si es necesario implantar salvaguardas o si por el contrario se asume el riesgo. En caso de
que tome la decisin de aplicar salvaguardas pero demorando su implantacin, no debera dejar pasar ms de 1 ao desde la finalizacin
del presente anlisis. El proceso de implantacin de salvaguardas debe ser considerado como un proceso de prioridad estndar y su
ejecucin puede ser interrumpida temporalmente cuando interfiera con procesos del negocio (no necesariamente crticos)

Security Xperts

> Evaluacin de riesgos

>

Implantar un proceso general de Gestin de Riesgos

> Establecer el nivel de riesgo aceptable
Informe de Aplicabilidad (SOA)

Nivel de riesgo

>
>
>
21

Riesgo

Opciones de
tratamiento del
riesgo

Tratamiento
del riesgo

Riesgo
residual

Anlisis de
coste /
beneficio

Responsable
de la
implementaci
n

Estrategia gestionar el riesgo

Asumir el riesgo no hacer nada
Controlar implantar uno o varios controles
Transfiere seguros o proveedor de servicios
Seleccionar controles (catlogo de buenas prcticas ISO17799 u otros)
Implantar controles
Verificar controles
Security Xperts

Fecha limite

Responsable
del
seguimiento
del riesgo

> Ms all del anlisis de riesgos (II)

22

>

Hacia la implantacin de un SGSI

> Formalizar la gestin de la seguridad
> Establecer procesos de gestin de la seguridad:
Siguiendo la metodologa PDCA:
P -plan: necesario disponer de un anlisis de riesgos
D - do: decisiones basadas en el anlisis de riesgos
C check: revisar / medir la eficacia de los controles en base a los resultados del
anlisis de riesgos
A act: realizar en caso necesario de nuevo el A.R. con un alcance ms reducido

>

Certificacin UNE 71502

> Anlisis de riesgo: un requisito ms
> La Poltica de Seguridad establece la necesidad de realizar peridicamente A.R. a los activos
de informacin bajo el SGSI.
> La normativa exige (SOX, Ley de Transparencia, Informe Turnbull) la implantacin de sistemas
de control interno

Security Xperts

>Gestionando los riesgos

Objetivo: reducir las posibilidades de que un evento cause un impacto en mis
activos
Una vez analizado el riesgo, es preciso gestionarlo:
Se acepta el riesgo
Se mitiga mediante la implantacin de salvaguardas/ controles
Si implanto salvaguardas:
Cunto cuestan?
Son efectivas en costes?
Se transfiere:
A un proveedor de servicios vinculado mediante SLA
Mediante una pliza de cobertura de riesgo electrnico

23

Security Xperts

>Gestionando los riesgos: tareas centrales

Establecimiento de una poltica de gestin de riesgos
Existencia de controles internos
Formacin y financiacin de un equipo de anlisis de riesgos
Organizacin de tareas
Adiestramiento en el uso de software de gestin de riesgos
Establecimiento de metodologas y herramientas
Diversos enfoques de gestin del riesgo
Bsico: segn normas estndar o experiencias en el sector
Informal: basado en la propia experiencia
Detallado: basado en metodologas y herramientas formales
Enfoque combinado: (UNE 71501-2)
Primera etapa: anlisis de riesgo de alto nivel
En funcin de este resultado, se determinan anlisis de riesgos con
alcances ms especficos

24

Security Xperts

>Gestionando los riesgos: tareas centrales

Identificacin y medicin del riesgo
Sensibilizacin de la direccin general
Comprensin y aceptacin del nivel de riesgo aceptable
Tamao del proyecto y posibles limitaciones
Seleccin de salvaguardas:
Reduccin del riesgo despus de implantar las salvaguardas
salvaguardas
Informe final
Reevaluaciones peridicas

25

Security Xperts

>La opcin de la transferencia del riesgo

> Qu se ha hecho hasta ahora?

26

>

Implantacin de medidas tecnolgicas:

> Software Antivirus
> Firewalls
> Sistemas de Deteccin de Intrusos
> Cifrado
> Back-ups
> Filtrado de contenidos, actualizaciones de software, etc
.la mayora de estas defensas, por su naturaleza, no pueden ser 100% efectivas

>

Polticas y procedimientos::
> Documento de seguridad
> Poltica de uso de Internet por los empleados
> Polticas de copias de seguridad y planes de continuidad de negocio
> Conformidad ISO 17799 / Certificacin UNE 71502
.A pesar de gestionar la seguridad, siempre existe un riesgo residual, al depender de su
cumplimiento por las personas y, por tanto, no son 100% efectivas

Security Xperts

> Transfiriendo el riesgo

Grado de confianza
(a menor confianza mayor riesgo)

> El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que
es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se
puede considerar suficiente (nivel de riesgo aceptable)

Seguridad perfecta

Riesgo

Nivel de implantacin y mantenimiento de mecanismos de seguridad

(a mayor nivel mayor coste econmico)
27

Security Xperts

> Transfiriendo el riesgo

Grado de confianza
(a menor confianza mayor riesgo)

> El nivel de riesgo al que est sometido una organizacin nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos
que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza
que se puede considerar suficiente (nivel de riesgo aceptable)

Seguridad perfecta

Riesgo
Plan de gestin de riesgos
con cobertura de riesgo
electrnico

Nivel de implantacin y mantenimiento de mecanismos de seguridad

(a mayor nivel mayor coste econmico)
28

Security Xperts

> Transfiriendo el riesgo

> Las plizas tradicionales:
> Excluyen expresamente las prdidas provenientes de riesgos
electrnicos (virus, hackers, etc) y por tanto, la empresa no est
amparando:
La responsabilidad Civil frente a terceros y empleados
derivada de estos riesgos.
Los daos propios derivados de estos riesgos.

29

Security Xperts

> Transfiriendo el riesgo

> Ejemplos de reclamaciones de terceros cubiertas por las plizas de riesgo
electrnico:
Por calumnia y difamacin debido a contenidos del correo electrnico
o de la web.
Por violacin de derechos de la propiedad intelectual debido al correo
electrnico o a contenidos de la web.
Por violacin de la confidencialidad o derechos de privacidad (por
ejemplo, violacin de la ley de proteccin de datos).
Por daos a sistemas informticos y/o registros (por ejemplo, a travs
del envio de virus o a travs de las actividades piratas de empleados).
Por prdidas como resultado de la imposibilidad de acceder a sus
sistemas informticos o como resultado de la prdida de datos.
Por errores u omisiones en el suministro de servicios tecnolgicos a
sus clientes.

30

Security Xperts

> Transfiriendo el riesgo

> Ejemplos de reclamaciones de los empleados:
Por un entorno de trabajo inapropiado (por ejemplo, cargos por acoso
sexual o racial derivados de su actividad electrnica).
Por violacin de la confidencialidad debido al uso fraudulento de la
informacin de su empleado
> Ejemplos de daos propios:
Por los gastos incurridos en la reparacin de los daos causados a los
sistemas informticos, y en encontrar, reemplazar o restaurar sus
registros informticos como resultado de un ataque pirata o de virus.
Prdidas en el negocio por la imposibilidad de realizar comercio
electrnico debido al ataque de hackers o virus

31

Security Xperts

> Transfiriendo el riesgo

Demandas de rescate o amenazas de introducir un virus o activar cualquier
cdigo malicioso en sus sistemas informticos; o difundir los datos de sus
registros informticos a terceras partes.
Prdidas como resultado del uso de sistemas informticos para conseguir
robar dinero del asegurado.
Los gastos legales incurridos con motivo de la defensa de los derechos de
propiedad intelectual en Internet.
Los gastos de una consultora de relaciones pblicas para mitigar los daos
producidos a la reputacin por cualquier siniestro que est cubierto bajo la
pliza

32

Security Xperts

> Ejemplo de cobertura (I)

> Por ejemplo, si una compaa sufre un ataque de virus maligno, la pliza se hara cargo
de varias maneras:
> Los gastos del personal tcnico o de consultores en seguridad que reparen sus
sistemas y restablezcan sus datos.
> Las prdidas por tiempos muertos de operacin.
> Si un tercero le hace responsable de sus prdidas, los gastos legales incurridos y
los daos que le sean imputados.
> Los gastos de un consultor de relaciones pblicas para minimizar los daos a su
reputacin.

33

Security Xperts

> Ejemplo de cobertura (II)

> Cobertura en proteccin de datos:
> Cobertura por reclamaciones de terceros por incumplimiento de la legislacin vigente
en materia de Proteccin de Datos de Carcter Personal.
> Cobertura por reclamaciones de los empleados por incumplimiento de la legislacin
vigente en materia de Proteccin de Datos de Carcter Personal.
> Los gastos de una consultora de relaciones pblicas para mitigar los daos
producidos a su reputacin por cualquier siniestro cubierto bajo la pliza.
> Multas y Sanciones impuestas por la Agencia Espaola de Proteccin de Datos
> Esta cobertura est condicionada a una Evaluacin satisfactoria por parte de firma
profesional independiente sobre el cumplimiento de la LOPD con carcter previo

34

Security Xperts

Preguntas?

Muchas Gracias

fernando.aparicio@securityxperts.es

35

Security Xperts

Creative Commons Attribution-NoDerivs 2.0

You are free:
to copy, distribute, display, and perform this work
to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author
credit.

No Derivative Works. You may not alter, transform, or

build upon this work.
For any reuse or distribution, you must make clear to others the license terms
of this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs
License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA.
36

Security Xperts